5.2.2.3. 验证 ID 映射

在 Windows ActiveActive Directorynbsp;Directory 域控制器(DC)上运行以下命令，以列出最高 ID：

dcdiag /v /test:ridmanager /s:ad.example.com

C:\> dcdiag /v /test:ridmanager /s:ad.example.com
...
Available RID Pool for the Domain is 1600 to 1073741823
...

Copy to Clipboard

Toggle word wrap

列出 IdM 服务器上的 ID 范围：

ipa idrange-find

[root@ipaserver ~]# ipa idrange-find
----------------
1 range matched
----------------
  Range name: AD.EXAMPLE.COM_id_range
  First Posix ID of the range: 610600000
  Number of IDs in the range: 200000
  First RID of the corresponding RID range: 0
  Domain SID of the trusted domain: S-1-5-21-796215754-1239681026-23416912
  Range type: Active Directory domain range
----------------------------
Number of entries returned 1
----------------------------

Copy to Clipboard

Toggle word wrap

在后续步骤中，您需要第一个 POSIX ID 值。

在 ActiveActive Directorynbsp;Directory DC 上，显示安全标识符(SID)或用户。例如，显示管理员的 SID：

wmic useraccount where name="administrator" get sid

C:\> wmic useraccount where name="administrator" get sid
S-1-5-21-796215754-1239681026-23416912-500

Copy to Clipboard

Toggle word wrap

SID 的最后一部分是相对标识符(RID)。在下一步中，您需要用户的 RID。

注意

如果 RID 大于默认 ID 范围(200000)，请使用 ipa idrange-mod 命令扩展范围。例如：

ipa idrange-mod --range-size=1000000 AD.EXAMPLE.COM_id_range

# ipa idrange-mod --range-size=1000000 AD.EXAMPLE.COM_id_range

Copy to Clipboard

Toggle word wrap

显示 IdM 服务器中同一用户的用户 ID：

id ad\\administrator

[root@ipaserver ~]# id ad\\administrator
uid=610600500(administrator@ad.example.com)...

Copy to Clipboard

Toggle word wrap

如果您将第一个 POSIX ID 值(610600000)添加到 RID(500)，它必须与 IdM 服务器中显示的用户 ID(610600500)匹配。

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links